Rufen Sie uns an!
02162/361 86 90

Datenschutz beim Cloud Computing

Cloud Computing schafft die Möglichkeit, Daten extern, also außerhalb des eigenen Unternehmens, zu speichern und zu verarbeiten. Sobald hierbei personenbezogene Daten im Sinne des BDSG verarbeitet werden, sind die geltenden Datenschutzgesetze zu beachten. Problematisch beim Cloud Computing ist jedoch, dass Daten weltweit gespeichert werden können. Es stellt sich also zunächst die Frage der rechtlichen Zulässigkeit von Datenübermittlungen in weltweite Clouds. Hier unterscheiden wir nun zwei Varianten:

1. Auftragsdatenverarbeitung innerhalb des Europäischen Wirtschaftsraumes (EWR) 

Grundsätzlich soll der Anwender auch bei Clouds selbst darüber bestimmen dürfen, was mit seinen Daten geschieht. Somit stellen Clouds, die sich innerhalb der EU bzw. des EWR befinden, eine klassische Auftragsdatenverarbeitung gemäß § 11 BDSG dar. Der Anwender bleibt also für die übermittelten Daten verantwortlich und muss nach den Anforderungen des §11 BDSG vorgehen. Hier hat der Gesetzgeber einen Maßnahmenkatalog zur Auftragsdatenverarbeitung vorgegeben, wonach ein Auftraggeber den jeweiligen Auftragnehmer (Cloud-Dienstleister) unter besonderer Berücksichtigung der Eignung der von ihm getroffenen technischen und organisatorischen Maßnahmen sorgfältig auswählen muss. Der Auftrag ist schriftlich zu erteilen und der Auftraggeber hat sich vor Beginn der Datenverarbeitung und sodann regelmäßig von der Einhaltung der beim Auftragnehmer getroffenen technischen und organisatorischen Maßnahmen zu überzeugen und das Ergebnis zu dokumentieren.

2. Datentransfers außerhalb des Europäischen Wirtschaftsraums (EWR) 

Die Zulässigkeit von Datenübermittlungen in Drittländer ist in zwei Stufen unterteilt. Zunächst zu prüfen, welcher Erlaubnistatbestand für die Übermittlung der Daten gegeben ist. Dies richtet sich in Deutschland nach § 4 Absatz 1 BDSG. Demnach ist „die Erhebung, Verarbeitung und Nutzung personenbezogener Daten (…) nur zulässig, soweit dieses Gesetz oder eine andere Rechtsvorschrift dies erlaubt oder anordnet oder der Betroffene eingewilligt hat.“

Sofern also ein Erlaubnistatbestand gegeben ist, muss daraufhin untersucht werden, ob beim Empfänger der übermittelten Daten ein angemessenes Datenschutzniveau gewährleistet ist (§ 4b BDSG).

Datenübermittlungen innerhalb der EU bzw. des EWR erweisen sich als unproblematisch, da in diesen Ländern aufgrund der EU-Datenschutzrichtlinie (EU-DSRL) vergleichbare Regelungen wie in Deutschland bestehen.

Bei Datentransfers in alle übrigen Staaten (sogenannte unsichere Drittstaaten) ist eine Datenübermittlung aufgrund des nicht vorhandenen angemessenen Datenschutzniveaus grundsätzlich erst einmal unzulässig. Jedoch besteht die Möglichkeit, durch einen sog. EU-Standardvertrag ein angemessenes Datenschutzniveau gemäß Art. 26 Absatz 2 EU-DSRL herzustellen.

Oftmals fällt in diesem Zusammenhang auch der Begriff „Safe Harbor“, der von US-Unternehmen zur Herstellung eines angemessenen Datenschutzniveaus vorgebracht wird. Die Tatsache, dass Unternehmen dem „Safe Harbor“-Abkommen beigetreten sind, genügt nach Ansicht der Aufsichtsbehörden nicht zur Gewährleistung eines entsprechenden Datenschutzniveaus, da das Abkommen bisweilen undurchsichtig ist und viele Schwachstellen aufweist, zumal die Safe Harbor-Zertifizierung recht willkürlich und ohne flächendeckende Kontrolle abläuft.

In der Praxis stellt Safe Harbor, also der vermeintliche „sichere Hafen“, letztendlich eher einen „unsicheren Hafen“ dar, der den EU-Standard nicht immer gewährleisten kann. Deshalb muss auch beim Datentransfer mit US-Unternehmen das erforderliche Datenschutzniveau mittels eines EU-Standardvertrages hergestellt werden.

Daneben lässt sich bei unsicheren Drittstaaten ein angemessenes Datenschutzniveau gemäß § 4c Absatz 2 BDSG auch durch sogenannte Binding Corporate Rules (BCR), die von der zuständigen Aufsichtsbehörde genehmigt werden, erreichen.

Zu beachten ist jedoch auch, dass bei internationalen Clouds eine Kontrolle der jeweiligen Subunternehmer nicht möglich ist. Ebenso wenig kann nachvollzogen werden, wann sich welche Daten wo befinden.

Aufgrund der oben geschilderten Problematik im Umgang mit Cloud Computing hat das Bundesamt für Sicherheit und Informationstechnik (BSI) Anfang Mai 2011 das finale Eckpunktepapier „Sicherheitsempfehlungen für Cloud Computing Anbieter (Mindestsicherheitsanforderungen in der Informationssicherheit)“ veröffentlicht. Dieses stellt einen ersten Schritt zur Schaffung von Standards dar, auf deren Grundlage die Sicherheit von Cloud Diensten überprüft werden kann.

Fazit:
Vor Nutzung eines Cloud Systems ist genau zu prüfen, wie die jeweilige Cloud aufgebaut ist und in welchen Ländern sich die jeweiligen Server befinden – wo genau also die Daten verarbeitet werden.

Politik und Wirtschaft stehen bislang noch vor der Herausforderung, internationale Cloud-Standards zu entwickeln und festzulegen, damit ein angemessenes Datenschutzniveau gewährleistet und Risiken für alle Beteiligten minimiert werden können.

Cloud Computing kann aktuell mit entsprechendem technischem und juristischem Know-how mit den bestehenden gesetzlichen Vorgaben in vielen Fällen in Einklang gebracht werden. Bei der Auslagerung von sensiblen Informationen, insbesondere von personenbezogenen Daten in internationalen Clouds, ist Cloud Computing jedoch ohne entsprechende vertragliche Regelungen mit dem aktuellen deutschen Datenschutzrecht kaum durchführbar.

Es kommt daher darauf an, klare Regelungen mit dem Cloud-Anbieter zu treffen und ein umsetzbares Datenschutzkonzept zu vereinbaren. Die klare Empfehlung lautet deshalb, mit dem Cloud-Anbieter die Einhaltung der lokalen Datenschutzanforderungen zu vereinbaren.